Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Au Royaume-Uni, c’est la fin des mots de passe par défaut du type « admin »

Le 03 mai à 07h27

Ars Technica explique qu’une « nouvelle version de la loi de 2022 sur la sécurité des produits et l’infrastructure des télécommunications (PTSI) est maintenant en vigueur ». Désormais, tous les produits connectés doivent disposer d’un « mot de passe aléatoire ou générer un mot de passe lors de l’initialisation (via une application pour smartphone ou d’autres moyens) ».

Les Britanniques ont pris soin de préciser que le mot de passe ne peut pas être incrémentiel de type password1, password2… et ne doit pas être « lié de manière évidente à des informations publiques ». On pense notamment à l’adresse MAC ou un SSID de réseau Wi-Fi.

Un mécanisme « simple » doit permettre de changer le mot de passe. On se souvient, par exemple, que certaines caméras chinoises avaient un mot de passe écrit en dur, directement dans le code… Dans la même idée, les composants logiciels doivent pouvoir être mis à jour.

Des sanctions sont prévues en cas de non-respect : « jusqu’à 10 millions de livres [environ 11,7 millions d’euros, ndlr] ou 4 % du chiffre d’affaires mondial connexe, selon le montant le plus élevé », expliquent nos confrères.

La loi Cyber résilience en Europe… pour 2027 ?

En Europe, la sécurité des produits numériques est aussi en train d’être revue avec la loi Cyber résilience. Elle prévoit notamment que les produits tels que des logiciels de gestion d'identité, les gestionnaires de mots de passe, les lecteurs biométriques, les assistants domestiques intelligents et les caméras de sécurité privées « soient couverts par les nouvelles règles. Les produits devraient également recevoir des mises à jour de sécurité installées automatiquement et séparément des mises à jour de fonctionnalités ».

Le Conseil doit encore voter la directive, puis l’Union européenne doit la publier à son journal officiel. Il entrera en vigueur 20 jours plus tard et « les nouvelles règles s’appliqueront trois ans après l’entrée en vigueur du règlement », précise Mathias Avocat. Tout cela nous emmène vers la seconde moitié de 2027.

Le 03 mai à 07h27

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
l'installation indépendante des correctifs est une bonne idée mais le côté automatique, s'agissant de produits sensibles me gène.
Toute injection prévue de code à l'insu des propriétaires implique un cheval de Troie, peu importe que la cause soit juste ou non.

Je préférerais une solution facile d'accès mais qui nécessite une action volontaire du propriétaire. Ce serait utile par exemple pour des caméras IP en réseau fermé.

Le fait d'impliquer les propriétaires va dans le sens de la sécurité et de la responsabilisation à la fois des propriétaires et des fabricants qui devraient à chaque fois expliquer pourquoi le produit doit être mis à jour.

Cela peut paraître fastidieux à certains qui se sont accoutumé de voir des mises à jour quitidiennes. Perso, je vous juste cela comme un aveu permanent d'avoir salopé le travail et de pousser des correctifs à la va vite au lieu de bien faire dès le départ
votre avatar
Le souci, c'est que t'imagine un smartphone où il faudrait lire la notice avant de pouvoir l'utiliser?
(au passage, j'en profite pour glisser que la doc Apple pour les iPhone est vraiment excellente)
Et autre problème, tous les objets n'ont pas forcément d'interraction avec les humain. Le distributeur de croquette, le détecteur de fumée, ... une fois setup, on l'oubli.
votre avatar
Ta vision n'est pas forcément correct. Les choses changent. Les versions de TLS aussi. Des failles de sécurité sont découvertes.
Et aussi pour les gentils, on ajoute des fonctions.

Bien sûr on corrige aussi des bugs.

Ceci dit en ce qui me concerne, pas de mise à jour automatique, t'as une pop-up quand tu te connectes auu produit qui te suggère de l'installer. Sans détails anxiogènes ceci dit, puisque sans aucun détails.
votre avatar
Techniquement parlant, c'est dingue qu'il faille une loi pour ca. Mais je comprends le point de vue des vendeurs de bidules connectés. Si Mr Michu doit passer plus de 30s à lire la doc pour comprendre comment ça marche, alors "c'est trop compliqué" et c'est moins vendeur.

Du coup, on arrive à des aberrations où le bidule en question inclu aussi du bluetooth, utilisé uniquement pour l'initialisation via une app. (J'ai eu le cas récemment, mais impossible de me souvenir quoi...)
votre avatar
Il y a toujours l'alternative QRCode, plus respectueuse de l'environnement, et plus économique...
Un petit mot de passe aléatoire passé en paramètre, et paf.
votre avatar
Arrête avec le QQRCode (cul-cul-RCode), ca me rappelle le journal météo-clito (ou on vous explique désormais que tout pb est du au réchauffement... mais que quand il fait plus frais/humide que la normale "faut pas confondre météo et climat"! Cohérence?) et leur bourrage de crane.

Bon, sinon, on l'affiche comment le QQRCode sur un truc sans affichage? Certes, un cam IP on pourrait la faire dans l'autre sens et le lui faire lire (avec flux video sortants bloqués tant que pas fait, oeuf course!) mais je vois pas comment généraliser à tout sans surcoût notable.

Bon, sinon, tout SoC a de l'USB présent même si pas forcément utilisé: Selon le type de produit, imposer une connexion physique/locale hors réseau serait possible à peu près qqsoit la sophistication du truc avec du bon vieux serial-USB ou l'automontage d'un bout de stockage de config en FAT32, présentés tant que pas d'init accès réalisée. Et pour à peine plus que le cout du connecteur quand il n'y en a pas déjà un, tout en étant du standard pour quand l'applicatif du fabricant sera tombé en ruine faute de maintenance.
votre avatar
Le qrcode, c'est en général pour paramétrer une connexion wifi avec l'objet en mode AP. Le temps de lui donner les vrais paramètre. Le SSID et le mot de passe sont hardcodé et le QRcode est un sticker. Une fois le bidule paramétré et connecté à ton réseau wifi, le qrcode ne fonctionne plus, mais n'a plus d'utilité.
votre avatar
Sur un QR code et avec une app idoine, tu devrais pouvoir faire passer et le mode AP et la première configuration, non ?

Pour répondre à yl (qui s'exprime bien vulgairement ma foi), si on parle de configuration Bluetooth d'un équipement connecté, c'est qu'on le fait avec un smartphone, qui a souvent lui-même un écran.
Bon, sauf ces nouveaux machins lapins et tout, mais on s'éloigne du sujet.

Edit : on me souffle sur Google Images que même les lapins ont des écrans. My bad.
votre avatar
OK, y'a pas intérêt à se mélanger les sticker à l'expédition des bidules connectés ceci dit... Et ne fonctionne que pour ce qui est wifi d’où mon ignorance: Je n'achète que du filaire!
votre avatar
Je suis assez pro-filaire moi-même, mais il faut se rendre à l'évidence, les machins connectés sont massivement passés au sans-fil.
Et c'est assez logique dans un contexte grand public, ne serait-ce que pour des raisons de facilité de déploiement.
votre avatar
Mouahaha j'ai quelques conversations à ce sujet en ce moment. Client white label qui veut le sticker sur une pièce mobile plutôt que sur le corps du produit. Tiens, y'a quelques produits qui n'ont pas le bon sticker. Sinon ça marche pour tous le sans fil (ie aussi Bluetooth). En filaire, on estime que y'a pas besoin de ce genre de sécurité en général.

PS : je fais des produits sans fil... Ça a sûrement un rapport avec le fait que je n'ai que du filaire moi-même ;)
votre avatar
"(ou on vous explique désormais que tout pb est du au réchauffement... mais que quand il fait plus frais/humide que la normale "faut pas confondre météo et climat"! Cohérence?)"
Sur la France entre le 1e janvier 2024 et le 14 avril 2024: 577 records de chaleur battus contre 1 seul de froid.

C'est bon, vous la voyez la cohérence ou l'éléphant au milieu du couloir n'est pas encore assez manifeste à votre goût?
votre avatar
Comment on affiche le QR Code ? Dans mon cas, grâce à un autocollant. Problème : il ne change pas à chaque fois.

Sinon tous les SoC sont loin d'avoir de l'USB. Mais ils ont tous en général un support de l'UART. Donc en général tu peux tous leur coller un UART => USB CDC.

J'ai un nouveau produit offline. Il est question de lui ajouter du Wi-Fi. J'ai dit que dans ce cas, la config du wifi se fera par USB (CDC). Ce SoC là a de l'USB. Et tu taperas le mot de passe de ton réseau wifi par l'USB.
votre avatar
Voilà. Mon petit produit est livré avec un (gros) QR code qui contient une petite clé de 256 bits (aléatoire... M'enfin pas le plus possible sûrement, vu que généré par l'OS de la machine de la chaîne de production).

Ceci dit ça ne me convient pas complètement. Un adversaire déterminé, bien informé et bien préparé peut faire quelque chose.

Un jour, il utilisera du chiffrement asymétrique et la QR Code servira au mieux pour détecter le MitM.

On m'a dit une fois que quand ça arrivera en haut de la pile des trucs à faire, dans le cas où les produits existants ne seraient pas compatibles, on sortira une nouvelle ligne "pro".
votre avatar
C'est fort aimable d'avoir converti les livres sterling en... dollars :mad2:

Edit : ça fait 11,7 millions d'euros
votre avatar
Ce qui me gène pour ma part, c'est le "via une application pour smartphone ou d’autres moyens": D'une part, il reste quelques réfractaires au smartphone qui seront exclus de base. D'autre part, la maintenance de ces applications vs évolutions matérielle/logicielle est loin d'être assurée sur de longues années: Un besoin de reset conf par défaut/usine suite à un problème et ce sera potentiellement impossible de reprendre la main.

Il faudrait remplacer le "ou" par un "et" avec la précision d'imposer d'autres moyens parfaitement standards qqsoit OS/Matos.

Niveau MAJ, séparer sécurité/fonctionnalités (avec parfois de sales surprises pour ces dernières) pour imposer les premières a du sens mais je préférerais également qu'on puisse choisir de les appliquer manuellement (même si cela pourrait ne pas être la conf par défaut).
votre avatar
via une application pour smartphone ou d’autres moyens
Quelle idée à la con de ramener un équipement tiers (qui plus est un téléphone dit "intelligent" !) dans la boucle !

Le seul moyen qui vaille serait de forcer la création d'identifiants à l'initialisation, empêchant un fonctionnement autre que celui de configuration jusqu'à que cela soit fait. À moduler en fonction de l'équipement, afin de permettre un accès local, physique, à ce mode.
Cela remet les choses en bon ordre : la charge incombe à l'administrateur de générer ses accès, pas à l'équipementier.
Certains équipements le font déjà, pourtant !

Forcément, laisser le législateur d'occuper du sujet, c'était remettre un sujet éminemment technique dans les mains de non-techniques. What could possibily go wrong? demandait rhétoriquement un animateur d'une ancienne émission phare de la BBC.

On remercie tous les fournisseurs d'équipement qui ont fait de la merde à pas cher sur le sujet parce qu'ils adorent être libres de faire n'importe quoi, pourvu que ça leur coûte le moins cher.
On a l'économie qu'on mérite.

Au Royaume-Uni, c’est la fin des mots de passe par défaut du type « admin »

  • La loi Cyber résilience en Europe… pour 2027 ?

Fermer